Bezpieczeństwo danych w firmie
RAPORT: Technologie dla MSP
Jednym z istotnych aspektów prowadzenia działalności gospodarczej jest konieczność zapewnienia właściwej ochrony informacji pozyskiwanych w ramach tej działalności, szczególnie informacji stanowiących szeroko rozumianą tajemnicę handlową i informacji stanowiących dane osobowe w rozumieniu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Informacje, których bezpieczeństwo powinno być zapewnione przez przedsiębiorcę, mogą dotyczyć zarówno przedsiębiorstwa, jak i wszelkich podmiotów, z którymi przedsiębiorca pozostaje w kontaktach gospodarczych, a także pracowników i współpracowników przedsiębiorcy. Z punktu widzenia sposobów zapewniania bezpieczeństwa danych, informacje, których ochronę powinien zapewnić przedsiębiorca, można podzielić na informacje, których należy chronić stosownie do postanowień wskazanej ustawy oraz informacje, co do których tryb i sposób zapewnienia ich bezpieczeństwa i poufności nie został uregulowany powszechnie obowiązującymi przepisami.
Dane osobowe
Zagadnienia związane z ochroną danych osobowych uregulowano w ustawie o ochronie danych osobowych (dalej u.o.d.o.). Zgodnie z art. 3 ust. 2 pkt 2 u.o.d.o., jej przepisy stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeśli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Tym samym regulacjami wskazanej ustawy objęty będzie każdy przedsiębiorca mający siedzibę swojej działalności na terenie Polski, który przetwarza dane osobowe.
Zakres przedmiotowy ustawy, tj. zakres danych, których ochrona powinna być zapewniona stosownie do jej przepisów, określono w art. 6 u.o.d.o., który stanowi, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest z kolei osoba, której tożsamość można określić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Stosownie do przepisów wskazanej ustawy przedsiębiorca jest zatem administratorem danych osobowych, przetwarzającym te dane – przetwarzaniem jest bowiem także samo zbieranie, utrwalanie i przechowywanie danych. Dane, którymi administruje przedsiębiorca obejmują wszelkie pozyskane przez niego dane osobowe dotyczące pracowników, współpracowników i innych osób.
Przetwarzając dane przedsiębiorca musi zabezpieczyć je w odpowiedni sposób – zgodnie z art. 36 ust. 1 u.o.d.o. należy zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną. W szczególności dane powinny być zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy i zmianą, utratą, uszkodzeniem lub zniszczeniem. Oznacza to, że przedsiębiorca musi zastosować właściwe środki techniczne i wprowadzić odpowiednią organizację zarządzania danymi, tak, by nie dopuścić do ich „wycieku” ze zbiorów przedsiębiorstwa. Należy pamiętać, że dane poszczególnych pracowników powinny być zabezpieczone nie tylko przed dostępem osób z zewnątrz, ale też przed dostępem innych pracowników. Przechowując dokumenty zawierające informacje o sytuacji rodzinnej, stanie zdrowia czy innych okolicznościach dotyczących pracownika, przedsiębiorca powinien ograniczyć dostęp do tych dokumentów, aby nie były one udostępniane innym osobom, niż sam przedsiębiorca i osoba faktycznie administrująca danymi, np. kadrowa. Podobnie jest w wypadku danych kontrahentów – przedsiębiorca powinien udostępniać je tylko tym pracownikom, którzy pracują nad sprawą danego klienta. Pracownicy powinni być także zobowiązani do poufności i do nieudostępniania sobie nawzajem danych osobowych innych osób (tyczy się to także tajemnicy handlowej poszczególnych kontrahentów). Zgodnie z art. 37 i art. 38 u.o.d.o. do przetwarzania danych mogą być dopuszczone tylko osoby posiadające upoważnienie nadane przez administratora danych, który zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone i komu są przekazywane.
Przedsiębiorca powinien także prowadzić ewidencję osób upoważnionych do przetwarzania danych. Ewidencja taka powinna obejmować imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator, jeśli dane są przetwarzane w systemie informatycznym. Ponieważ nie ma żadnych wymogów, co do formy prowadzenia takiej ewidencji, należy uznać, że może być ona prowadzona też w formie pliku komputerowego. O obowiązku prowadzenia ewidencji warto pamiętać, gdyż w razie nieuprawnionego udostępnienia danych na podstawie ewidencji będzie można określić osobę, która w danym czasie odpowiadała za bezpieczeństwo i poufność danych, a dopuściła się zaniedbania.
Administrator danych ma obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną. Dokumentacja taka prowadzona jest na piśmie i składa się z polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jeśli dane przetwarzane są także w systemie informatycznym. Szczegółowe zasady przygotowania dokumentacji określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Zapewnienie właściwych zabezpieczeń i polityki poufności wewnątrz przedsiębiorstwa jest szczególnie istotne z uwagi na sankcje karne przewidziane w razie nieprawidłowego zabezpieczenia danych lub dojścia do ich nieuprawnionego udostępniania osobom niepowołanym. Odpowiedzialność karną poniesie administrator danych, który naruszy obowiązek właściwego ich zabezpieczenia nawet nieświadomie, a także w sytuacji, w której do „wycieku” danych nie dojdzie – stosownie do art. 52 u.o.d.o., kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Niezależnie od odpowiedzialności karnej, osoba, której dane zostałyby w sposób nieuprawniony udostępnione, mogłaby kierować do przedsiębiorcy, który dane nieprawidłowo zabezpieczył, roszczenia o charakterze cywilnym.
Informacje poufne o innym charakterze
Obok danych osobowych w ramach prowadzenia działalności gospodarczej przedsiębiorca wchodzi w posiadanie informacji poufnych dotyczących innych uczestników obrotu gospodarczego, które także zobowiązany jest chronić, nawet jeśli taki obowiązek nie wynika wprost z treści stosunku prawnego między przedsiębiorcą a innym podmiotem. Obecnie umowy handlowe często zawierają klauzulę zobowiązującą strony do zachowania w poufności informacji związanych z treścią umowy i jej wykonaniem, szczególnie tajemnicy handlowej drugiej strony. Naruszenie klauzuli poufności obwarowane jest zwykle sankcjami w postaci rozwiązania umowy czy kary umownej. Jednak nawet w sytuacji, w której klauzula poufności nie została zastrzeżona, przedsiębiorca musi zabezpieczyć informacje stanowiące tajemnicę przedsiębiorstwa. Tajemnicę przedsiębiorstwa stanowią z kolei nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne firmy lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Tym samym, jeśli w ramach stosunku gospodarczego jeden przedsiębiorca ujawnia drugiemu informacje niezbędne do realizacji umowy, które jednocześnie stanowią jego tajemnicę i które chroni on przed dostępem innych osób, przedsiębiorca pozyskujący te informacje w taki sposób także powinien chronić ich poufność. Stosownie do art. 11 ust. 1 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeśli zagraża lub narusza interes przedsiębiorcy, jest czynem nieuczciwej konkurencji. Czyn nieuczciwej konkurencji można popełnić także nieumyślnie, w związku z czym przedsiębiorca powinien chronić wskazane informacje także przed ich nieświadomym ujawnieniem czy udostępnieniem osobom nieupoważnionym, w celu ustrzeżenia się przed możliwymi roszczeniami odszkodowawczymi ze strony przedsiębiorcy, którego prawa naruszono.
Obowiązek właściwego zabezpieczenia danych w firmie pokrywa się jednocześnie z istotnym interesem przedsiębiorcy, jakim jest uniknięcie potencjalnej odpowiedzialności karnej i odpowiedzialności cywilnej, wobec których dane osobowe czy tajemnice handlowe zostałyby bezprawnie ujawnione. Przedsiębiorca ma także interes we właściwym zabezpieczeniu jego własnych danych i tajemnic.
Autor: Adrian Ciesielski, aplikant adwokacki
Kancelaria BSO Prawo & Podatki
Zagadnienia związane z ochroną danych osobowych uregulowano w ustawie o ochronie danych osobowych (dalej u.o.d.o.). Zgodnie z art. 3 ust. 2 pkt 2 u.o.d.o., jej przepisy stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeśli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Tym samym regulacjami wskazanej ustawy objęty będzie każdy przedsiębiorca mający siedzibę swojej działalności na terenie Polski, który przetwarza dane osobowe.
Zakres przedmiotowy ustawy, tj. zakres danych, których ochrona powinna być zapewniona stosownie do jej przepisów, określono w art. 6 u.o.d.o., który stanowi, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest z kolei osoba, której tożsamość można określić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Stosownie do przepisów wskazanej ustawy przedsiębiorca jest zatem administratorem danych osobowych, przetwarzającym te dane – przetwarzaniem jest bowiem także samo zbieranie, utrwalanie i przechowywanie danych. Dane, którymi administruje przedsiębiorca obejmują wszelkie pozyskane przez niego dane osobowe dotyczące pracowników, współpracowników i innych osób.
Przetwarzając dane przedsiębiorca musi zabezpieczyć je w odpowiedni sposób – zgodnie z art. 36 ust. 1 u.o.d.o. należy zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną. W szczególności dane powinny być zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy i zmianą, utratą, uszkodzeniem lub zniszczeniem. Oznacza to, że przedsiębiorca musi zastosować właściwe środki techniczne i wprowadzić odpowiednią organizację zarządzania danymi, tak, by nie dopuścić do ich „wycieku” ze zbiorów przedsiębiorstwa. Należy pamiętać, że dane poszczególnych pracowników powinny być zabezpieczone nie tylko przed dostępem osób z zewnątrz, ale też przed dostępem innych pracowników. Przechowując dokumenty zawierające informacje o sytuacji rodzinnej, stanie zdrowia czy innych okolicznościach dotyczących pracownika, przedsiębiorca powinien ograniczyć dostęp do tych dokumentów, aby nie były one udostępniane innym osobom, niż sam przedsiębiorca i osoba faktycznie administrująca danymi, np. kadrowa. Podobnie jest w wypadku danych kontrahentów – przedsiębiorca powinien udostępniać je tylko tym pracownikom, którzy pracują nad sprawą danego klienta. Pracownicy powinni być także zobowiązani do poufności i do nieudostępniania sobie nawzajem danych osobowych innych osób (tyczy się to także tajemnicy handlowej poszczególnych kontrahentów). Zgodnie z art. 37 i art. 38 u.o.d.o. do przetwarzania danych mogą być dopuszczone tylko osoby posiadające upoważnienie nadane przez administratora danych, który zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone i komu są przekazywane.
Przedsiębiorca powinien także prowadzić ewidencję osób upoważnionych do przetwarzania danych. Ewidencja taka powinna obejmować imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator, jeśli dane są przetwarzane w systemie informatycznym. Ponieważ nie ma żadnych wymogów, co do formy prowadzenia takiej ewidencji, należy uznać, że może być ona prowadzona też w formie pliku komputerowego. O obowiązku prowadzenia ewidencji warto pamiętać, gdyż w razie nieuprawnionego udostępnienia danych na podstawie ewidencji będzie można określić osobę, która w danym czasie odpowiadała za bezpieczeństwo i poufność danych, a dopuściła się zaniedbania.
Administrator danych ma obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną. Dokumentacja taka prowadzona jest na piśmie i składa się z polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jeśli dane przetwarzane są także w systemie informatycznym. Szczegółowe zasady przygotowania dokumentacji określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Zapewnienie właściwych zabezpieczeń i polityki poufności wewnątrz przedsiębiorstwa jest szczególnie istotne z uwagi na sankcje karne przewidziane w razie nieprawidłowego zabezpieczenia danych lub dojścia do ich nieuprawnionego udostępniania osobom niepowołanym. Odpowiedzialność karną poniesie administrator danych, który naruszy obowiązek właściwego ich zabezpieczenia nawet nieświadomie, a także w sytuacji, w której do „wycieku” danych nie dojdzie – stosownie do art. 52 u.o.d.o., kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Niezależnie od odpowiedzialności karnej, osoba, której dane zostałyby w sposób nieuprawniony udostępnione, mogłaby kierować do przedsiębiorcy, który dane nieprawidłowo zabezpieczył, roszczenia o charakterze cywilnym.
Informacje poufne o innym charakterze
Obok danych osobowych w ramach prowadzenia działalności gospodarczej przedsiębiorca wchodzi w posiadanie informacji poufnych dotyczących innych uczestników obrotu gospodarczego, które także zobowiązany jest chronić, nawet jeśli taki obowiązek nie wynika wprost z treści stosunku prawnego między przedsiębiorcą a innym podmiotem. Obecnie umowy handlowe często zawierają klauzulę zobowiązującą strony do zachowania w poufności informacji związanych z treścią umowy i jej wykonaniem, szczególnie tajemnicy handlowej drugiej strony. Naruszenie klauzuli poufności obwarowane jest zwykle sankcjami w postaci rozwiązania umowy czy kary umownej. Jednak nawet w sytuacji, w której klauzula poufności nie została zastrzeżona, przedsiębiorca musi zabezpieczyć informacje stanowiące tajemnicę przedsiębiorstwa. Tajemnicę przedsiębiorstwa stanowią z kolei nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne firmy lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Tym samym, jeśli w ramach stosunku gospodarczego jeden przedsiębiorca ujawnia drugiemu informacje niezbędne do realizacji umowy, które jednocześnie stanowią jego tajemnicę i które chroni on przed dostępem innych osób, przedsiębiorca pozyskujący te informacje w taki sposób także powinien chronić ich poufność. Stosownie do art. 11 ust. 1 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeśli zagraża lub narusza interes przedsiębiorcy, jest czynem nieuczciwej konkurencji. Czyn nieuczciwej konkurencji można popełnić także nieumyślnie, w związku z czym przedsiębiorca powinien chronić wskazane informacje także przed ich nieświadomym ujawnieniem czy udostępnieniem osobom nieupoważnionym, w celu ustrzeżenia się przed możliwymi roszczeniami odszkodowawczymi ze strony przedsiębiorcy, którego prawa naruszono.
Obowiązek właściwego zabezpieczenia danych w firmie pokrywa się jednocześnie z istotnym interesem przedsiębiorcy, jakim jest uniknięcie potencjalnej odpowiedzialności karnej i odpowiedzialności cywilnej, wobec których dane osobowe czy tajemnice handlowe zostałyby bezprawnie ujawnione. Przedsiębiorca ma także interes we właściwym zabezpieczeniu jego własnych danych i tajemnic.
Autor: Adrian Ciesielski, aplikant adwokacki
Kancelaria BSO Prawo & Podatki
|
nr 4(120)2012  Zobacz więcej na temat: Technologie dla MSP | Bezpieczeństwo danych w firmie |
|
